安全狗发布主机容器安全解决方案亮相数字中国建设峰会
第二届数字中国建设峰会昨日开幕,人脸识别、区块链、物联网、AI等数字科技手段,将三坊七巷这一古老的街区变身数字景区。全国有代表性的科技企业和专家围绕“同享普惠科技 共建数字社会”“打造数字世界底座,构建万物互联的智能世界”等主题展开了一场与未来的对话。
作为安全狗参与本届数字中国建设峰会的重头戏,在峰会现场我们发布了云甲—“主机容器安全解决方案”,兼顾了对容器的全面保护又能灵活地与容器编排体系相结合,属于业内首创的容器安全解决方案。
容器技术从LXC到Docker(容器镜像的出现)再到容器编排技术Kubernetes,尤其随着微服务架构和Develops开发模型的盛行,容器已经成为中大型企业在构建新一代信息化基础设施和应用交付的必要选择。中国信息通信研究院 2018 年发布的《中国云计算开源发展调查报告》显示,30.1% 的企业已经将容器技术投入生产环境使用,正在测试环境使用容器的企业占比为 36.3%,还有 24.5% 的企业正在对容器技术进行评估。
随着容器技术广泛应用,针对容器的安全问题也日趋严重,容器有着不同于传统信息基础设施的安全问题;在Garnter发布的2017年和2019年年度安全技术榜单中,容器安全(Container Security)也都榜上有名。容器的安全问题主要体现在以下几个方面:
一、容器自身安全问题
即容器自身因为软件漏洞或者配置不当造成的安全问题,属于中高危级别的安全风险,黑客可利用这些漏洞轻松攻破整个容器体系。根据国家信息安全漏洞共享平台(CNVD)的统计,Docker相关的漏洞中危及以上占比高达90%。除此之外还有不少因为对Docker默认配置不做修改,导致容器关键服务直接暴露在互联网上而直接被黑客攻击利用。
二、容器镜像安全问题
即容器镜像里面使用了带漏洞的软件甚至镜像生成过程中被污染带上木马后门,导致有问题的镜像直接使用到生产环境中而产生的严重安全事件。
三、容器运行时安全问题
即容器在运行过程中其上的应用和微服务受到黑客攻击从而导致容器被黑客控制,甚至可能导致从容器逃逸到宿主机的逃逸攻击进而攻击整个容器集群。
针对以上安全问题,安全狗联合北京小佑科技推出了云甲—“主机容器安全解决方案”,该方案采用主机安全Agent和安全容器相结合的技术,既能做到对容器的全面保护又能灵活的跟容器编排体系相结合,属于业内首创的容器安全解决方案。
通过云甲—“主机容器安全解决方案”实现对对容器全生命周期安全管控,涉及到容器的各个环节,即对容器镜像文件的制作过程、容器运行的过程以及容器内应用进行全自动的安全检测、 预警与防护,其中包括:
1、模板文件的安全防护
对模板文件进行自动的安全审查,识别出模板文件中危险的安全行为,如非法添加了恶意文件、越权的访问以及被禁止的端口映射等等,同时还需要对模板文件中的行为动作进行合规审查,以发现不符合行业规范和等级保护要求。
2、镜像文件安全防护
对制作的镜像文件进行静态和动态的安全扫描,以发行镜像文件中的安全漏洞、木马病毒、涉密的文件及环境变量,从而保证进入生产环境的镜像是安全的,还需对镜像的来源和历史操作行为进行分析,对非法来源和有安全问题的镜像禁止运行。
3、容器运行保护
对容器运行过程进行全程的安全监控,进而对容器访问宿主机的资源进行细粒度的控制,防止有越权访问破坏容器隔离性的行为。
4、容器内应用保护
对容器内应用、微服务的安全漏洞识别、网络威胁检测,从而保证容器内应用的安全。
5、容器运行环境的保护
对容器的相关运行环境,如镜像仓库、容器守护进程、容器编排集成工具进行安全风险识别及控制。
云甲容器安全方案中融合了安全狗·云眼主机EDR技术(安全agent),可以实现对容器主机的安全闭环管理。云眼采用轻量级Agent,与全部功能的重量级Agent相比,轻量级Agent实现了功能的最小集合,大大减轻Agent对于主机性能的影响。并且轻量级agent简单,能够动态地升级和更新,实现的代码少,容易传输。
中国观察